Bajins

# 软件安全

# Flag

  • 系统及软件方面的漏洞渗透测试

# 漏洞练习平台

WebGoat漏洞练习平台

webgoat-legacy漏洞练习平台

zvuldirll漏洞练习平台

vulapps漏洞练习平台

dvwa漏洞练习平台

**数据库注入练习平台 **

用node编写的漏洞练习平台,like OWASP NodeGoat

Ruby编写的一款工具,生成含漏洞的虚拟机

# 花式扫描器

Nmap端口扫描器

本地网络扫描器

子域名扫描器

Linux漏洞扫描

基于端口扫描以及关联CVE

漏洞路由扫描器

迷你批量信息泄漏扫描脚本

Waf类型检测工具

服务器端口弱口令扫描器

Fox-scan扫描器

# 信息搜集工具

社工收集器

Github信息搜集

github Repo信息搜集工具

信息探测及扫描工具

内部网络信息扫描器

远程桌面登录扫描器

网络基础设施渗透工具

SNMAP密码破解

webshell大合集

渗透以及web攻击脚本

web渗透小工具大合集

XSS数据接收平台

XSS与CSRF工具

xss多功能扫描器

web漏洞扫描器

WEB漏洞扫描器

渗透常用小工具包

web目录扫描器

web向命令注入检测工具

自动化SQL注入检查工具

SSL扫描器

安全工具集合

apache日志分析器

php代码审计工具

web指纹识别扫描

检查网站恶意攻击

wordprees漏洞扫描器

固件漏洞扫描器

数据库注入工具

Web代理

新版中国菜刀

git泄露利用EXP

浏览器攻击框架

自动化绕过WAF脚本

http命令行客户端

浏览器调试利器

DISCUZ漏洞扫描器

自动化代码审计工具

浏览器攻击框架

tomcat自动后门部署

网络空间指纹扫描器

burpsuit之J2EE扫描插件

# Windows域渗透工具

mimikatz明文注入

Powershell渗透库合集

Powershell tools合集

powershell的mimikittenz

域渗透教程

# Fuzz

Web向Fuzz工具

HTTP暴力破解,撞库攻击脚本

# 漏洞利用及攻击框架

msf框架

pocsscan攻击框架

Beebeeto攻击框架

漏洞POC&EXP:ExploitDB官方git版本

php漏洞代码分析

CVE-2016-2107

CVE-2015-7547 POC

JAVA反序列化EXP

Jenkins CommonCollections EXP

CVE-2015-2426 EXP windows内核提权

use docker to show web attackphp本地文件包含结合phpinfo getshell 以及ssrf结合curl的利用演示

php7缓存覆写漏洞Demo及相关工具

XcodeGhost木马样本

# 中间人攻击及钓鱼

中间人攻击框架

https://github.com/byt3bl33d3r/MITMf

中间人代理工具

wifi钓鱼

# 密码破解

密码破解工具

本地存储的各类密码提取利器

# 二进制及代码分析工具

二进制分析工具

系统扫描器

rp

Windows Exploit Development工具

二进制静态分析工具(python)

Python Exploit Development Assistance for GDB

对BillGates Linux Botnet系木马活动的监控工具

木马配置参数提取工具

Shellphish编写的二进制分析工具(CTF向)

针对python的静态代码分析工具

基于AST变换的简易Javascript反混淆辅助工具

# EXP编写框架及工具

二进制EXP编写工具

CTF Pwn 类题目脚本编写框架

an easy-to-use io library for pwning development

跨平台注入工具

哈希长度扩展攻击EXP

# 隐写

隐写检测工具

# 各类安全资料

data_hacking合集

mobile-security-wiki

书籍《reverse-engineering-for-beginners》

一些信息安全标准及设备配置

APT相关笔记

《DO NOT FUCK WITH A HACKER》

各类安全脑洞图

信息安全流程图

# 各类CTF资源

近年ctf writeup大全

fbctf竞赛平台Demo

ctf Resources

ctf及黑客资源合集

ctf和安全工具大合集

ctf向 python工具包

# 各类编程资源

大礼包(什么都有)

python资源大全

python任务管理以及命令执行库

python exe打包库

Veil-Evasion免杀项目

py3 爬虫框架

一个提供底层接口数据包编程和网络协议支持的python库

python requests 库

python 实用工具合集

python爬虫系统

# 福利

hardsed神器

# 甲方安全工程师生存指南

web索引及日志搜索工具

开源日志采集器

扫描CS结构的web debuger

恢复sqlite数据库删除注册信息

gps欺骗检测工具

应急处置响应框架

web安全开发指南

各个知名厂商漏洞测试报告模板

linux下恶意代码检测包

操作系统运行指标可视化框架

恶意代码分析系统

定期搜索及存储web应用

事件响应框架

综合主机监控检测平台

分布式实时数字取证系统

Microsoft & Unix 文件系统及硬盘取证工具

# 蜜罐

SSH蜜罐

蜜罐集合资源

kippo进阶版蜜罐

SMTP 蜜罐

web应用程序蜜罐

数据库蜜罐

web蜜罐

# 远控

用gmail充当C&C服务器的后门

开源的远控

c#远控

# 工具合集

NoSQL扫描/爆破工具

MySQL盲注爆破工具

基于SQLMAP的主动和被动资源发现的漏洞扫描工具

用于SQL Server审计的powershell脚本

用于http header中的时间盲注爆破工具,仅针对MySQL / MariaDB

Java编写的SQL注入工具

基于搜索引擎的批量SQL注入漏洞扫描器

在sqlmap基础上增加了目录扫描,hash爆破等功能

Mysys以及MSSQL爆破脱裤工具

批量查询网站在乌云是否存在忽略的sql注入漏洞并自动调用sqlmap测试

一个简单的HTTP暴力破解,撞库攻击脚本

根据用户习惯生成弱口令探测字典脚本

Go写的协程版的ssh \redis \ mongodb弱口令破解工具

暴力破解字典建立工具

多线程探测弱口令

支持测试CSRF,Clickjacking,Cloudflare和WAF的弱口令探测器

对CiscoVPN,Citrix Gateway等各类服务进行弱口令检测的脚本

物联网设备默认密码扫描检测工具

使用nmap扫描IoT设备

路由器设备漏洞扫描利用

Telnet服务密码撞库

自动化信息搜集及渗透测试工具,比较适用于IoT扫描

嵌入式设备漏洞扫描及利用工具

一款XSS扫描器,可暴力注入参数

小型XSS扫描器,也可检测CRLF,XSS,点击劫持的

PHP版本的反射型xss扫描

批量扫描XSS的python脚本

自动化检测页面是否存在XSS和跨站请求伪造漏洞的浏览器插件

使用命令行进行XSS批量检测

可识别和绕过WAF的XSS扫描工具

支持GET,POST方式的高效XSS扫描器

企业被搜索引擎收录敏感资产信息监控脚本员工邮箱,子域名,主持人

Bing,google,360,zoomeye 等搜索引擎聚合搜索,可用于发现企业被搜索引擎收录的敏感资产信息

能成抓取搜索引擎隐藏的url,并交由sqlmap,nmap扫描

企业内网基础服务安全扫描框架

github Repo信息搜集工具

.svn文件夹泄漏利用工具

GitHub敏感信息扫描工具

企业资产,敏感信息GitHub泄露监控系统

根据企业关键词进行项目检索以及相应敏感文件和文件内容扫描的工具

github敏感信息搜索工具

** .git文件夹泄漏利用工具**

GitHub敏感信息扫描工具,包括检测提交等

自动化对指定域名进行Google hacking搜索并收集信息

用于搜索git的承诺中的敏感信息,例如密码,私钥等的客户端工具

Github敏感信息泄露扫描

Github泄露巡航工具

Web站点信息搜集工具,包括邮箱,电话等信息

集合多个开源GitHub敏感信息扫描的企业信息泄露巡航工具

可以提取网址,电子邮件,文件,网站帐户等的高速爬虫

一款简单的webshell检测工具

哈勃分析系统,LINUX系统病毒分析及安全检测

使用python实现的集成ClamAV,ESET,Bitdefender的反病毒引擎

一款高效率PHP-webshell扫描工具

测试效率高达99%的webshell检测工具

一款简洁的的Webshell扫描工具

Webshell扫描工具,支持php / perl / asp / aspx webshell扫描

一款木马,僵尸网络分析框架

高级安卓木马病毒分析框架

基于网络流量的内网探测框架

调用Windows API枚举用户登录信息

自动化利用XSS入侵内网

目标端口扫描+系统服务指纹识别

动态多线程敏感信息泄露检测工具

WAF产品指纹识别

SSL类型识别

Web指纹识别

Web应用指纹识别

网络爬虫式指纹识别

基于Masscan和Zmap的网络扫描器

网络资产信息扫描,ICMP存活探测,端口扫描,端口指纹服务识别

中间件扫描

web路径收集与扫描

C段横幅与路径扫描

端口服务扫描

waf自动暴破

尝试找出cdn背后的真实ip

基于Bing搜索引擎的C段/旁站查询,多线程,支持API

多线程WEB目录爆破工具

一个爬虫式的网段Web主机发现小工具

Thorn上实现的分布式任务分发的ip端口漏洞扫描器

类似zgrab的快速TCP指纹抓取解析工具,支持更多协议

CDN识别,检测

基于爬虫的web路径扫描器

服务器ssh配置信息扫描

针对域名及其子域名的资产数据检测/扫描,包括http / https检测等

域名资产收集及指纹识别工具

CMS识别python gevent实现

敏感文件扫描/二次判断降低误报率/扫描内容规则化/多目录扫描

基于爬虫的动态敏感文件探测工具

web路径扫描工具

网络设备web服务指纹扫描与检索

目标主机服务ssl类型识别

Web应用fuzz工具,框架,同时可用于web路径/服务扫描

多线程的后台路径扫描器,也可用于发现重定向漏洞后执行

弱口令扫描器,不仅支持普通登录页,也支持ssh,mongodb等组件

渗透测试辅助工具,支持分析数据包,解码,端口扫描,IP地址分析等

基于nmap的扫描器,与cve漏洞关联

基于nmap的高级漏洞扫描器,命令行环境使用

web应用信息搜集工具

围绕web服务的域名进行信息收集和“域传送”等漏洞扫描,也支持针对背后的服务器端口扫描等

基于Nikto扫描规则的被动式路径扫描以及信息爬虫

快速识别WEB服务器类型,CMS类型,WAF类型,WHOIS信息,以及语言框架

用于检查web服务的http header的安全性

一款高效快捷的敏感文件扫描工具

通过字典穷举,google,robots.txt等途径的跨平台后台管理路径扫描器

常规CMS指纹识别

WAF指纹识别及自动化绕过工具

网络应用模糊工具,框架,同时可用于网络路径/服务扫描

web敏感目录/信息泄漏扫描脚本

用于网站或IP地址的信息收集工具

通过扫描全网获得真实IP的自动化程序

分布式WEB指纹识别平台

爬虫式web目录扫描工具

Jenkins漏洞探测,用户抓取爆破

首款集成化的Discuz扫描工具

一款简洁优雅的CMS扫描利用框架

IIS短文件名暴力枚举漏洞利用工具

flashxss扫描

一个起毛服务器端模板注入漏洞的半自动化工具

服务器端模板注入漏洞检测与利用工具

Docker扫描工具

一款精简的wordpress扫描工具

集成化wordpress漏洞利用框架

用于扫描J2EE应用的一款burpsuite插件

一款基于perl的strut2的历史漏洞扫描器

本地文件包含漏洞利用及扫描工具,支持反弹shell

基于Salt Open以及Vulners Linux Audit API的linux漏洞扫描器,支持与JIRA,slack平台结合使用

自动化探测客户端AngularJS模板注入漏洞工具

Java编写的IIS短文件名暴力枚举漏洞利用工具

基于WPScan以及WPSeku的优化版wordpress扫描器

CMS渗透测试框架

CRLF注入漏洞批量扫描

自动化扫描内网中存在的由影子经纪人泄露的ETERNAL系列漏洞

通过定制化的谷歌搜索引擎进行漏洞页面搜寻及扫描

本地文件包含漏洞利用及扫描工具,支持反弹shell

用于枚举脚本的GET / POST未知参数字段

struts2的漏洞全版本检测和利用工具

SSL漏洞扫描,例如心脏滴血漏洞等

基于搜索引擎的漏洞网页搜寻

用于攻击爆破Java RemoteMethod Invocation服务的工具

扫描js扩展库的常见漏洞

针对的hadoop /火花等大数据平台的的漏洞探测工具

RegEx拒绝服务扫描器

使用NMAP扫描的Tor网络上隐藏的“洋葱”服务

Web CMS Exploit工具,包含针对主流CMS的66个不同的漏洞利用

一个迷你的信息泄漏批量扫描脚本

文件上传漏洞扫描器及利用工具

子域名接管漏洞检测工具,支持30+云服务托管检测

WordPress的漏洞扫描器,同时也支持敏感文件泄露扫描

检测网站依赖的JavaScript库中存在的已知通用漏洞

自动检测上传功能是否可上传webshell

CMS指纹识别及自动化渗透测试框架

论坛框架vBulletin黑盒漏洞扫描器

CMS指纹识别及自动化渗透测试框架

CMS漏洞检测和利用套件

AWS安全审计工具

针对wp,magento,joomla等CMS的漏洞扫描器及自动利用工具

OWASP旗下joomla漏洞扫描项目

用于检测因错误配置导致敏感信息暴露的Django应用程序

无线安全审计工具

Python网络/渗透测试工具

无线安全渗透测试套件

无线网络审计工具,支持2-5GHZ频段

ARP欺骗,无线网络劫持

检查wifi是否是“大菠萝”所开放的热点,并给予网络评分

自动化无线网络攻击工具wifite的重构版本

基于BBScan via.lijiejie的本地网络扫描

基于JavaScript的的本地网络扫描

白盒代码安全审计系统

静态PHP代码审计

跟踪,分析PHP运行情况的工具

NodeJS应用代码审计

Python应用审计

Ruby on Rails应用静态代码分析

Python应用静态代码审计

WordPress插件代码安全审计

用于扫描PHP应用程序中可能存在SQL漏洞的ADOdb代码

https://github.com/lowjoel/phortress

用于检测潜在安全漏洞的PHP静态代码分析工具

自动漏洞扫描器,子域名爆破,端口扫描,目录爆破,常用框架漏洞检测**

集合owasp top10漏洞扫描和边界资产发现能力的分布式web漏洞扫描框架

ysrc出品的被动式漏洞扫描工具

基于http代理的web漏洞扫描器

自动化扫描器,包括中间件扫描以及设备指纹识别

定向全自动化渗透测试工具

自动化渗透测试框架,支持cdn真实ip查找,指纹识别等

蟒插件化漏洞扫描器,支持生成扫描报表

渗透测试插件化并发框架

支持检测SQLI/ XSS / LFI / RFI等漏洞的扫描器

Web图形化的漏洞扫描框架

一款网络化的自动化渗透测试框架

一款集成信息收集,漏洞扫描,指纹识别等的多合一扫描工具

高度集成化的Web应用漏洞扫描框架,支持REST,RPC等api调用

集成化渗透测试辅助平台及漏洞管理平台

渗透测试集成框架,包含超过38,000+攻击

基于铬/歌剧插件的被动式漏洞扫描

支持多种网络漏洞扫描,命令行环境使用

web应用扫描器,支持指纹识别,文件目录爆破,SQL / XSS / RFI等漏洞扫描,也可直接用于struts,ShellShock等扫描

集成子域名枚举,nmap,waf指纹识别等模块的web应用扫描器

使用ruby开发的扫描网络中主机存在的第三方web应用服务漏洞

Web应用自动化扫描框架,支持自动化上传webshell

一款开源Poc调用框架,可轻松调用Pocsuite,Tangscan,Beebeeto,Knowsec老版本POC,可使用docker部署

斗象能力中心出品并长期维护的开源漏洞检测框架

Web应用漏洞扫描框架

Web应用漏洞扫描框架,基于python3

被动式漏洞扫描,支持历史cve编号漏洞识别

OWASP ZAP核心项目出品的综合性渗透测试工具

Web服务综合型扫描器,用于指定目标的资产收集,安全配置缺陷或者安全漏洞扫描

一款多方位信息收集,指纹识别及漏洞扫描工具

一款web应用漏洞扫描器,支持扫描反射型以及存储型xss,sql injection等漏洞,支持输出pdf报告

渗透测试辅助工具,综合利用框架

基于被动式扫描框架的自动化web漏洞扫描工具

渗透测试辅助框架,包含信息搜集,无线渗透,网络应用扫描等功能

内置1200+插件的web漏洞扫描框架

Web服务安全评估工具,提供基于windows操作系统的简单.exe应用

使用go开发的可扩展以及高并发渗透测试框架

基于Flask应用框架的漏洞扫描系统

一个操作上类似metasploit的web应用安全审计框架

一款web应用漏洞扫描器,支持扫描反射型以及存储型xss,sql injection等漏洞

集成104个模块的Web应用程序渗透测试框架

一款APT入侵痕迹扫描器

ICS设备nmap扫描脚本

SDN安全评估框架